BlackByte Ransomware IOCs - Part 5

ransomware IOC
Опубликовано

Команда Threat Hunter компании Symantec обнаружила, что по крайней мере один из филиалов операции BlackByte ransomware (Ransom.Blackbyte) начал использовать в своих атаках специальный инструмент для эксфильтрации данных. Эта вредоносная программа (Infostealer.Exbyte) предназначена для ускоренной кражи данных из сети жертвы и их загрузки на внешний сервер.

BlackByte - это программа-вымогатель как услуга, управляемая киберпреступной группой, которую Symantec называет Hecamede. Эта группа привлекла внимание общественности в феврале 2022 года, когда Федеральное бюро расследований США (ФБР) выпустило предупреждение, в котором говорилось, что BlackByte использовался для атак на множество организаций в США, включая организации как минимум в трех секторах критической инфраструктуры. В последние месяцы BlackByte стал одной из наиболее часто используемых полезных нагрузок в атаках вымогательского ПО.

BlackByte Ransomware IOCs

BlackByte Ransomware

Инструмент эксфильтрации Exbyte написан на языке Go и предназначен для загрузки украденных файлов в облачный сервис хранения Mega.co.nz.

При запуске Exbyte выполняет ряд проверок на наличие признаков того, что он может работать в среде "песочницы". Это делается для того, чтобы усложнить исследователям безопасности анализ вредоносной программы. Для этого он вызывает API IsDebuggerPresent и CheckRemoteDebuggerPresent. Затем он проверяет наличие запущенных процессов от следующих приложений:

  • MegaDumper 1.0 by CodeCracker / SnD
  • Реконструктор импорта
  • x64dbg
  • x32dbg
  • OLLYDBG
  • WinDbg
  • Интерактивный дизассемблер
  • Отладчик иммунитета - [CPU]

Затем он проверяет наличие следующих файлов, связанных с антивирусом или песочницей:

  • avghooka.dll
  • avghookx.dll
  • sxin.dll
  • sf2.dll
  • sbiedll.dll
  • snxhk.dll
  • cmdvrt32.dll
  • cmdvrt64.dll
  • wpespy.dll
  • vmcheck.dll
  • pstorec.dll
  • dir_watch.dll
  • api_log.dll
  • dbghelp.dll

Далее Exbyte перечисляет все файлы документов на зараженном компьютере, такие как .txt, .doc и .pdf, и сохраняет полный путь и имя файла в %APPDATA%\dummy. Затем указанные файлы загружаются в папку, которую вредоносная программа создает на сайте Mega.co.nz. Учетные данные для используемого аккаунта Mega жестко закодированы в Exbyte.

Exbyte - не первый инструмент эксфильтрации данных, разработанный на заказ, который связан с операциями по борьбе с вымогательством. В ноябре 2021 года компания Symantec обнаружила Exmatter, инструмент эксфильтрации данных, который использовался операцией BlackMatter ransomware и впоследствии применялся в атаках Noberus. Другие примеры включают инструмент Ryuk Stealer и StealBit, который связан с вымогательской программой LockBit.

В недавних атаках BlackByte, расследованных Symantec, злоумышленники использовали уязвимости ProxyShell (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207) и ProxyLogon (CVE-2021-26855 и CVE-2021-27065) в серверах Microsoft Exchange для получения первоначального доступа.

Symantec наблюдала, как злоумышленники использовали AdFind, AnyDesk, NetScan и PowerView перед развертыванием полезной нагрузки ransomware.

В последних атаках использовалась версия 2.0 полезной нагрузки BlackByte. При выполнении полезная нагрузка ransomware появляется для загрузки и сохранения отладочных символов от Microsoft.

Indicators of Compromise

URLs

  • http://gfs204n140.userstorage.mega.co.nz/ul/_Amu75VCTCu6BgIdFs8ZgHPyHqBFm5Cj8bV1xkM5QFt2T0x-9C_KlHQAQ3kX4bzj8jgmyK9-dlbmx9ef6Y9JDw/1966080
  • http://gfs206n108.userstorage.mega.co.nz/ul/aX72PSSxERHKJwLdWCCOmsJQRioP7N6kcAltRRTbAgwGtNzcsdYa_7HTb4ToVV_HcVPORXotYAF5WqFAsmAOKA/15204352
  • http://gfs206n171.userstorage.mega.co.nz/ul/9Y39ts0Mp6xtige0-wHhmMG74YgASgG1UhZYfzl_fh8TN_TQo1gSa92TNe_HTBxvOTirA0yfouEE74-Y3Cy1Tw/81264640
  • http://gfs208n174.userstorage.mega.co.nz/ul/z6nR8uTohiga4QeILJsXcAWlt05Vhu2XiDlne_Qag-rgAmZkK2aZMvYrWC5FHRebBpMoxYZEEqSStHyvU6SnWQ/6815744
  • http://gfs214n129.userstorage.mega.co.nz/ul/wVJUlrn9bMLekALaMZx_o5FeK-U1oG9q4CWqHGNslUnVY2-BgJcEUxIJX9O4fXEWkt-x80LeAr7Jz9gXTCwzDA/2752512
  • http://gfs262n303.userstorage.mega.co.nz/ul/f_re9dP6f9G8GAJhd3p43aJnvHnw7rCHLumJV-MXDlaL2RaSQQrPH1BYStJHWy4JkPgJ13KczuiJoOl0iwjxDA/15204352
  • http://gfs270n392.userstorage.mega.co.nz/ul/PCfY6R3GKGjIEQK2tzWLODSlhG-h5NbxGHdNAToANCzjKK8Z6kdCiqshxM6ctHDKpLU09-YobgYybaQkCnpwnw/4718592

SHA256

  • 0097b8722c8c0840e8c1a4dd579438344b3e6b4d630d17b0bbe9c55159f43142
  • 1df11bc19aa52b623bdf15380e3fded56d8eb6fb7b53a2240779864b1a6474ad
  • 20848d28414d4811b63b9645adb549eed0afbd6415d08b75b0a93fbf7cfbf21f
  • 3fb160e1770fafeedff2d77841bf02108c25cca4cb6d77e3fbf759077f356b70
  • 44a5e78fce5455579123af23665262b10165ac710a9f7538b764af76d7771550
  • 477382529659c3452020170d8150820210ab8cbdc6417a0f0ac86a793cd0d9b4
  • 4877ff7c3c2abd349646db1163814811e69b36374e289f5808cc794113ef55ae
  • 572d88c419c6ae75aeb784ceab327d040cb589903d6285bbffa77338111af14b
  • 754ac79aca0cc1bcf46000ef6c4cbe8bebeb50dae60823a1e844647ac16b6867
  • 794a5621fda2106fcb94cbd91b6ab9567fb8383caa7f62febafcf701175f2b91
  • aeb1b789395357e8cc8dbd313b95f624fc03e037984040cd7c1704775bfb4bd2
  • eb24370166021f9243fd98c0be7b22ab8cbc22147c15ecef8e75746eb484bb1a
  • efc2125e628b116eb0c097c699e473a47a280dfcd3e02cada41bdf6969600b41
  • f157090fd3ccd4220298c06ce8734361b724d80459592b10ac632acc624f455e
  • f361bafcc00b1423d24a7ea205264f5a0b96011e4928d9a91c2abc9911b433a1
Похожие записи:
  1. Witchetty APT IOCs
  2. [CERT-UA] О неотложных мерах киберзащиты
  3. BlackByte Ransomware IOCs
  4. BlackByte Ransomware IOCs - Part 3
  5. BlackByte Ransomware IOCs - Part 4
BlackByte CVE-2021-26855 CVE-2021-27065 CVE-2021-31207 CVE-2021-34473 CVE-2021-34523 Ransomware Symantec
Добавить комментарий